Часто Задаваемые Вопросы Об Облачной [Электронной] Подписи

Наша площадка стала первым федеральным оператором электронной торговли, внедрившим новую технологию облачной электронной подписи.

Если обычный ЭP вызывал кучу вопросов, то этот сервис, с одной стороны, еще более непонятен бизнесу, а с другой, все стало гораздо проще.

- Что это? Раньше на документе стояла бумажная подпись.

Это не очень удобно, не очень безопасно и требует физического присутствия бумаги.

Потом появилась флешка с сертификатом и пакетом вокруг него (даже антивирусом).

Сначала она называлась «ЦП» — электронная цифровая подпись.

Потом она просто стала ЭP. Теперь эту флешку закинули в облако, и она стала OЭP. — Как работает ОЭП? Предположим, вы подаете свое предложение на тендер.

Раньше для того, чтобы подписать документ, необходимо было установить плагин для браузера, который мог бы взаимодействовать с программным обеспечением на локальном компьютере пользователя.

Это ПО обращалось к ПО на флешке, ПО на флешке выдавало ключ, транзакция подписывалась этим ключом и в готовом виде передавалась плагину в браузере.

Теперь убираем флешку из этой цепочки: программа обращается к облачному хранилищу по зашифрованному туннелю.

— Можно ли без софта на локальной машине? Да, если на сайте есть промежуточный сервер, который собственно и проксирует запросы и выглядит как этот самый локальный компьютер, то всё можно сделать из любого браузера.

Но для этого требуется переработка бэкенда сайта (в нашем случае мы сделали отдельный сервер для торговли с мобильных телефонов).

Если этот путь не работает, выбирается стандартный.

Ожидается, что этот вариант станет наиболее распространенным в будущем.

Как пример одной из таких реализаций — сайт МСП "Росельторг" (Закупки среди малого и среднего бизнеса).

- OЭP и ЭP — это одно и то же, но они находятся в разных местах, верно? Подписи имеют общее ядро с сертификатом и безопасностью.

Функционально это одно и то же, просто меняется внутренний метод API для шифрования транзакции.

Один метод берет ключ с локального устройства, другой — с удаленного.

- Подожди, а тебе еще нужна авторизация? Да.

Но теперь оно двухфакторное и не привязано к устройству.

Обычная схема: установите приложение на телефон или плагин для браузера на рабочий стол, затем для начала введите логин и пароль, затем при совершении транзакции введите ПИН-код, присланный с сервера авторизации.

То есть, чтобы подписать вам документ, вам нужно будет украсть ваш пароль+логин и перехватить смс или push-уведомление с кодом.

- Какая тогда прибыль?

1. Если вы потеряете флешку, вам необходимо получить новый ключ.

   В случае OЭP достаточно сменить пароль подписи.

2. Привязки к рабочему месту нет: раньше ЭP устанавливался на один конкретный компьютер.

3. Никакой привязки к браузеру: раньше был IE. Что вызвало ряд проблем даже на уровне выбора ОС: админы Linux это обошли, а вот на Mac-устройствах было сложнее.

4. Привязки к географии нет: авторизация работает из любой страны (из-за особенностей безопасности ЭP на флешках зачастую работала только в российских сетях).

5. Все должно быть безопаснее благодаря двухфакторной аутентификации по умолчанию, без возможности «облегчить вашу жизнь».

6. Уничтожение флешки с подписью не ставит под угрозу текущие транзакции.

7. В целом все это более правильно, особенно из-за возможности быстрой подписи с мобильных телефонов.

Технически это хранилище, разбитое на закрытые ячейки без возможности массового доступа ко всем сразу.

Если несколько упростить: вы входите в систему, создаете транзакцию, она отправляется на подпись в HSM, и оттуда на выходе получается защищенный объект. Закрытый ключ не выдается.

То есть HSM выступает третьей стороной, как нотариус, подтверждая в сделке, что вы — это вы.

Точнее, что вы имеете право подписать документ. Каждый удостоверяющий центр имеет свой HSM. Каждое решение лицензировано ФСБ.

Оборудование оснащено большим количеством уровней безопасности, в частности, противовзломными датчиками.

Терминал физически встроен в сам сервер, внешние подключения для управления не поддерживаются, веб-интерфейс отсутствует. Надо что-то обустроить — свитер, машинное помещение, большой железный ящик с маленьким ЖК-экраном.

— А как насчет обратной совместимости? Опять же, для упрощения, новые версии ПО для работы с ЭP теперь умеют что-то вроде эмуляции этой самой флешки для всего старого ПО.

То есть не важно, что вы используете: токен на физическом носителе или доступ к HSM. Обновленное программное обеспечение все подпишет, как в старые добрые времена.

— Как выглядит первое подключение? При настройке на устройстве конечного пользователя указываются два адреса сервера DSS. Вот, собственно, и вся обстановка.

После этого вам нужно будет авторизоваться на сервере.

Пользователь вводит уникальные логин и пароль, которые ему выдает удостоверяющий центр.

После ввода имени пользователя и пароля вам необходимо пройти двухфакторную аутентификацию.

Обычно пользователь сканирует предоставленный ему QR-код и устанавливает приложение.

Это приложение общего поставщика подписей, настроенное для конкретного центра сертификации.

Второй код сканируется со ссылкой на его ячейку в HSM. На телефон абонента приходит ПИН-код для конкретной транзакции, он использует его и подтверждает себя.

После этого вам необходимо сменить пароль доступа.

Следующие транзакции могут быть проще: PIN-код отправляется посредством push-уведомления.

Предполагается, что если телефон защищен FaceID или распознаванием отпечатков пальцев, то этого второго фактора (в сочетании с вводом логина и пароля) достаточно.

Если ваш телефон утерян, вам необходимо пройти процедуру с QR-кодами заново.

Заблокированный телефон без PIN-кода бесполезен.

ПИН-код без пароля для входа бесполезен.

Если вы потеряли разблокированный телефон с фотографией вашего логина и пароля, написанными на бумажке (реальный случай в нашей ЦА), то вы можете запросить блокировку доступа до выяснения.

— Как получить конверт с доступом к OЭP? Простой случай: заявитель (генеральный директор юридического лица) приходит лично с паспортом в удостоверяющий центр и получает конверт. Сложный случай: сотрудник приходит с заверенной доверенностью, соответствующей требованиям 63-ФЗ (Об электронной подписи) и требованиям службы безопасности удостоверяющего центра.

— Это уже массовое явление? Да.

За первый месяц работы УЦ ЕЭТП выдал около тысячи сертификатов по новой технологии OЭP. Около 70% пользователей, оформивших электронные подписи, являются юридическими лицами, еще 23% — индивидуальными предпринимателями.

Более 60% пользователей нового сервиса — компании из Москвы.

Есть сертификаты в Санкт-Петербурге, Новосибирске, Хабаровске, Ростове-на-Дону.

Тэги: #информационная безопасность #безопасность #Технологии #закупки #сертификат #ЭУ #удостоверяющий центр #сервис #облачная подпись #ОЭС

• Как Вы Можете Защитить Свой Компьютер?

  19 Oct, 24

• Партнер Dynamics Gp Чикаго, Сан-Диего Новости: Менеджер По Интеграции

  19 Oct, 24

• Центры Компьютерного Обучения Сейчас Востребованы

  19 Oct, 24

• Ликбез По Электротравмам: От Ожогов И Катаракты До Переломов И Фибрилляций

  19 Oct, 24

• Московская История Профессионального Выгорания - С 1996 По 2017 Год. Путь От Топ-Менеджера Госкорпорации До Исследователей

  19 Oct, 24

• Снарк Объяснил. Гомоморфное Сокрытие И Слепая Полиномиальная Оценка (Перевод)

  19 Oct, 24

• Как Onlime Меня Подсадил На Цифровое Телевидение

  19 Oct, 24

• Lg Научила Умный Дом Разговаривать Через Мессенджер Line

  19 Oct, 24

• Как Применять Нейротехнологии На Практике: Хакатон Neuromedia-2017

  19 Oct, 24

• Часть 5. Карьера Программиста. Середина. Кризис. Первый Выпуск

  19 Oct, 24